El W3C es un consorcio internacional que establece estándares y recomendaciones para la World Wide Web. Fue creado en 1994 por Tim Berners-Lee para asegurar el crecimiento a largo plazo de la Web. Los dominios son nombres que identifican sitios web y permiten servicios como páginas web y correo electrónico. Existen dominios genéricos, territoriales y de tercer nivel. Los protocolos SSL, TLS y HTTPS cifran la comunicación entre servidores y clientes para proteger la privacidad y permitir el comercio electrón
1. ¿QUE ES W3C?
World Wide Web consortium
El Consorcio WWW, en inglés: World Wide Web Consortium (W3C), es
un consorcio internacional que genera recomendaciones y estándares que
aseguran el crecimiento de la World Wide Web a largo plazo.
Este consorcio fue creado en octubre de 1994, y está dirigido por Tim Berners-
Lee, el creador original del URL (Uniform Resource Locator, Localizador Uniforme
de Recursos), del HTTP (HyperText Transfer Protocol, Protocolo de Transferencia
de HiperTexto) y delHTML (Hyper Text Markup Language, Lenguaje de Marcado
de HiperTexto), que son las principales tecnologías sobre las que se basa la Web.
Organización de la w3c
El W3C fue creado el 1 de octubre de 1994, por Tim Berners-Lee en el Instituto
Tecnológico de Massachusetts (MIT), actual sede central del consorcio.
Uniéndose posteriormente, en abril de 1995, INRIA en Francia, reemplazado por
el ERCIM en 2003 como el huésped europeo del consorcio y la Universidad de
Keiō (Shonan Fujisawa Campus) en Japón como huésped asiático, en septiembre
de 1996. Estos organismos administran el W3C, que está integrado por:
Miembros: a abril de 2010 contaba con 330 miembros.
Equipo (W3C Team): 65 investigadores y expertos de todo el mundo.
Oficinas (W3C Offices): centros regionales establecidos en Alemania y Austria
(oficina conjunta), Australia, Benelux (oficina conjunta), China, Corea del Sur,
España, Finlandia, Grecia, Hong Kong, Hungría, India, Israel, Italia, Marruecos,
Suecia y Reino Unido e Irlanda (oficina conjunta).
La oficina española del W3C, establecida en 2003, está albergada por la
Fundación CTIC en el Parque Científico Tecnológico de Gijón (Principado de
Asturias).
¿QUE SON LOS DOMINIOS?
Los dominios de Internet son los nombres que permiten identificar a empresas,
personas, organizaciones... en Internet. Un dominio permite visitar páginas Web o
disponer de cuentas de correo electrónico entre otras funciones. Y es que
técnicamente un dominio sirve para localizar una maquina en Internet que es la
2. que se encarga de gestionar estos servicios. Éstas maquinas se identifican
mediante un número, llamado IP, como por ejemplo 217.76.130.185.
Evidentemente un nombre de dominio es mucho más fácil de recordar que una
secuencia de números.
Si una empresa, un particular o una organización desean ofrecer cualquier tipo de
servicio o información en Internet es prácticamente indispensable contar con un
nombre de dominio. Las ventajas son muy numerosas:
En primer lugar se potencia la imagen de marca. No es lo mismo contar
con una dirección Web del estilo http://hostinggratuito.com/usuarios/miempresa que
con http://www.miempresa.com. Sucede exactamente lo mismo con las
direcciones de correo electrónico. Es mucho mejor disponer de cuentas del
tipo info@miempresa.com que de una cuenta de correo proporcionada
gratuitamente como empresa@hotmail.com.
Por otro lado todos los servicios asociados al dominio, (hosting, correos...)
permanecen independientes de la máquina que los presta. Por ejemplo si
decide cambiar de proveedor de alojamiento el traspaso se realiza de forma
totalmente transparente al exterior manteniendo el mismo nombre de
dominio.
Un nombre de dominio es único y exclusivo. Es imposible que existan en
Internet y por ende en todo el mundo dos dominios iguales. Solo hay
un dominios-internet.com
En definitiva contar con un nombre de dominio a la hora de comenzar cualquier
tipo de proyecto en Internet es indispensable.
TIPOS DE DOMINIOS DE INTERNET: GENÉRICO, TERRITORIAL Y 3ER NIVEL
Un dominio es el nombre con el que se conoce a un sitio web. Hay dominios para
todo tipo de empresa o circunstancia y es el dominio quien definirá cómo lo
encontrarán en Internet.
Los tipos de dominios de internet se dividen en tres grandes grupos, los
dominios genéricos o gTLD (geopraphical Top Level Domain), los dominios
territoriales ccTLD (country code Top Level Domain) y los dominios de tercer nivel.
Los gTLD son dominios genéricos que no se ajustan al ambiente de un país
específico. Los conocemos por ser los más comunes y tienen extensiones .com,
org, .net, etcétera. Es decir: www.conversiones.com es un dominio genérico.
3. Los dominios con extensión .com son aquellas que se utilizan para empresas y
organizaciones comerciales de todo el mundo. Aquellos con extensión .org lo
utilizan organizaciones e instituciones sin ánimo de lucro y Organizaciones No
Gubernamentales (ONG). Mientras que las empresas e instituciones relacionadas
con servicios de Internet se definen por tener una extensión en .net.
Los dominios asociados a un país determinado son los ccTLD, quienes se definen
por adquirir un sitio con extensión única perteneciente a cada región. Por ejemplo,
en México los dominios ccTLD terminan con la extensión .mx, en España este tipo
de dominios termina en .es, o en Francia, la extensión es .fr.
Los dominios de tercer nivel son aquellos que tienen la misma finalidad que los
dominios gTLD sólo que éstos adquieren también la identidad territorial de las
ccTLD. Los dominios gubernamentales o educativos son característicos de este
tipo. Sencillamente deben tener una terminación .com.mx, .edu.mx, etcétera.
Sin embargo fuera de estos tres grandes grupos, existen otros tipos de
extensiones de dominios, algunos quizá desconocidos y otros más comunes de lo
que pensamos. Conversiones te presenta los más utilizados:
Extensión Descripción del Dominio
.gov Los asignan instituciones de gobierno por país.
.edu Uso exclusivo para universidades, secundarios, primarias e
instituciones relacionadas a la educación.
.tv Los usan principalmente empresas de video, cine y televisión.
.mobi Para utilizarse en sitios compatibles con dispositivos móviles.
.info Dominios diseñados principalmente para la difusión de información.
.asia Para compañías, organizaciones e indiciduos localizados en Asia,
Australia y el Pácifico.
.biz Se pueden usar para actividades comerciales y de negocios.
.cc Esta extensión puede ser útil para aquellos que pretenden
conseguir un dominio global y no tienen posibilidad de conseguir un
.com.
.ws Siglas que se identifican con Web Site, se trata de una opción para
cualquier tipo de web.
4. .xxx Para sitios con contenido sexual o pornográfico.
.name Destinado al registro de nombres propios, apodos, etc.
.pro Para uso específico reservado a profesionales de determinadas
categorías, agrupados en subdominios. Ejemplo: .med.pro
(médicos).
.mil Uso exclusivo para los militares de los Estados Unidos.
.coop Reservado a las cooperativas y para registrarlo hace falta
demostrar la existencia de la cooperativa a través del organismo
local correspondiente.
.museum El uso de este dominio es exclusivo de los museos.
.travel Para uso por agencias de viajes o destinos turísticos.
También existen los dominios genéricos Multilingües: aquellos dominios .com, .org
y .net que llevan eñes, acentos u otros caracteres especiales. Ejemplo:
España.com, y recuerda que si deseas o realiza la compra en proveedor de
dominios de confianza.
PROTOCOLOS SEGUROS PARA EL WEB
Se discuten SSH, SSL, TSL y HTTPS, los protocolos utilizados en la actualidad
para intercambiar información de manera de hacer difícil que esta sea interceptada
por terceros. Contar con protocolos seguros es importante tanto por las
preocupaciones relacionadas con la privacidad como para permitir el comercio
electrónico.
Seguridad en la Web
Dado el gran auge que hoy en día tiene Internet, su uso se ha masificado
enormemente. Desde páginas meramente informativas hasta sitios interactivos
usando tecnologías nuevas.
Empresas de diversa índole ya usan la Internet para comunicarse y el problema
principal que surgió es la confiabilidad en que lo que se está comunicando no sea
visto por personas que puedan hacer mal uso de dicha información.
Por ejemplo, las tiendas comerciales ya están dando la posibilidad de realizar
compras por la Web, pero el principal talón de Aquiles lo constituye la inseguridad
que causa dar un número de tarjeta de crédito para pagar la compra.
5. O cosas tan simples como cuando uno envía un mail y no querer que nadie lo lea
sino el destinatario.
A raíz de todo esto surgieron tecnologías que persiguen mejorar la seguridad de
todas estas comunicaciones.
Seguridad en la transmisión
La seguridad de este tipo se basa en el hecho de poder encriptar los mensajes
que se envían por a red entre un servidor y un cliente y que solo ellos puedan
descifrar los contenidos a partir de una clave común conocida solo por los dos.
Para llevar a cabo esta seguridad se crearon diversos protocolos basados en esta
idea:
SSH: Usado exclusivamente en reemplazo de telnet
SSL: Usado principalmente en comunicaciones de hipertexto pero con
posibilidad de uso en otros protocolos
TSL: Es del mismo estilo del anterior.
HTTPS: Usado exclusivamente para comunicaciones de hipertexto
SSH (Secure Shell)
Este protocolo fue diseñado para dar seguridad al acceso a computadores en
forma remota.
Cumple la misma función que telnet o rlogin pero además, usando criptografía,
logra seguridad con los datos.
A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la
comunicación y la forma de efectuar su trabajo es muy similar al efectuado por
SSL.
Para su uso se requiere que por parte del servidor exista un demonio que
mantenga continuamente en el puerto 22 el servicio de comunicación segura, el
sshd.
El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos
a este puerto 22 de forma cifrada.
6. La forma en que se entabla una comunicación es en base la misma para todos los
protocolos seguros:
El cliente envía una señal al servidor pidiéndole comunicación por el puerto
22.
El servidor acepta la comunicación en el caso de poder mantenerla bajo
encriptación mediante un algoritmo definido y le envía la llave pública al
cliente para que pueda descifrar los mensajes.
El cliente recibe la llave teniendo la posibilidad de guardar la llave para
futuras comunicaciones o destruirla después de la sesión actual.
Se recomienda que si se está en un computador propio, la clave sea
guardada, en otro caso, destruirla.
SSL (Secure Socket Layer) y TLS (Transport Layer Secure)
El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y
autenticación en Internet. SSL es una capa por debajo de HTTP y tal como lo
indica su nombre esta a nivel de socket por lo que permite ser usado no tan solo
para proteger documentos de hipertexto sino también servicios como FTP, SMTP,
TELNET entre otros.
La idea que persigue SSL es encriptar la comunicación entre servidor y cliente
mediante el uso de llaves y algoritmos de encriptación.
El protocolo TLS está basado en SSL y son similares en el modo de operar.
Es importante señalar que ambos protocolos se ejecutan sobre una capa de
transporte definida, pero no determinada. Esto indica que pueden ser utilizados
para cualquier tipo de comunicaciones. La capa de transporte más usada es TCP
cobre la cual pueden implementar seguridad en HTTP.
Como punto de diferencia se puede mencionar que existen protocolos
implementados sobre la capa de red, por ejemplo sobre IP. Tal es el caso de
IPSec.
¿De qué están compuestos?
Estos protocolos se componen de dos capas: el Record Protocol y el Handshake
Protocol.
7. El Record Protocol es la capa inmediatamente superior a TCP y proporciona una
comunicación segura. Principalmente esta capa toma los mensajes y los codifica
con algoritmos de encriptación de llave simétrica como DES, RC4 aplicándole una
MAC (Message Authentication Code) para verificar la integridad, logrando así
encapsular la seguridad para niveles superiores.
El Handshake protocol es la capa superior a la anterior y es usada para gestionar
la conexión inicial.
¿Cómo funcionan?
En resumidas cuentas, después que se solicita una comunicación segura, servidor
y el cliente se deben poner de acuerdo en cómo se comunicaran (SSL
Handshake) para luego comenzar la comunicación encriptada. Luego de
terminada la transacción, SSL termina.
Solicitud de SSL:
Típicamente este proceso ocurre en el momento que un cliente accede a un
servidor seguro, identificado con "https://...". Pero como se mencionó, no
necesariamente es usado para HTTP. La comunicación se establecerá por un
puerto distinto al utilizado por el servicio normalmente. Luego de esta petición, se
procede al SSL Handshake.
SSL Handshake:
En este momento, servidor y cliente se ponen de acuerdo en varios parámetros de
la comunicación. Se puede dividir el proceso en distintos pasos:
Client Hello: El cliente se presenta. Le pide al servidor que se presente
(certifique quien es)y le comunica que algoritmos de encriptación soporta y
le envía un número aleatorio para el caso que el servidor no pueda certificar
su validez y que aun así se pueda realizar la comunicación segura.
Server Hello: El servidor se presenta. Le responde al cliente con su
identificador digital encriptado, su llave pública, el algoritmo que se usará, y
otro número aleatorio. El algoritmo usado será el más poderoso que soporte
tanto el servidor como el cliente.
Aceptación del cliente: El cliente recibe el identificador digital del servidor, lo
desencripta usando la llave pública también recibida y verifica que dicha
identificación proviene de una empresa certificadora segura. Luego se
procede a realizar verificaciones del certificado (identificador) por medio de
8. fechas, URL del servidor, etc. Finalmente el cliente genera una llave
aleatoria usando la llave pública del servidor y el algoritmo seleccionado y
se la envía al servidor.
Verificación: Ahora tanto el cliente y el servidor conocen la llave aleatoria
(El cliente la generó y el servidor la recibió y desencriptó con su llave
privada). Para asegurar que nada ha cambiado, ambas partes se envían las
llaves. Si coinciden, el Handshake concluye y comienza la transacción.
Intercambio de Datos:
Desde este momento los mensajes son encriptados con la llave conocida por el
servidor y el cliente y luego son enviados para que en el otro extremo sean
desencriptados y leídos.
Terminación de SSL
Cuando el cliente abandona el servidor, se le informa que terminara la sesión
segura para luego terminar con SSL.
En el siguiente esquema se muestra todo el proceso del Handshake:
9. ¿Cómo instalar un servidor seguro?
En primer lugar se debe disponer de un servidor que soporte SSL que en la
actualidad es muy común en el mercado de los servidores. En caso de adquirir
uno nuevo, se puede visitar WebServer Compare para elegirlo.
Luego se debe elegir una empresa certificadora que respalde nuestra
identificación. Una de las empresas más reconocidas es VeriSign.
Luego de llenar formularios en la empresa elegida, esta entidad, después de unos
días, envía el Certificado de Servidor Seguro por correo, el cual se debe guardar
en un archivo de texto (incluyendo -----BEGIN CERTIFICATE----- y -----END
CERTIFICATE-----)
Finalmente se siguen las instrucciones enviadas junto con el certificado y después
de esto, al reiniciar el servidor, estará en condiciones de entablar comunicaciones
seguras.
DIFERENCIAS ENTRE HTTP Y HTTPS
Seguramente en más de una oportunidad hemos oído hablar de “HTTPS”, pero no
estamos realmente seguros de lo que significa, y tampoco nos importa demasiado.
Esta actitud puede ocasionarnos una gran cantidad de serios problemas
relacionados con la seguridad de nuestros datos cuando navegamos en Internet,
aunque siempre lo hagamos en sitios seguros y de buena reputación. En este
artículo conoceremos qué significa HTTPS y porque ese término es tan
importante.
Antes que nada, tenemos que saber que HTTPS es la forma más segura de
navegar por Internet, ya que cualquier dato que introduzcamos en el navegador
viajará cifrado y por lo tanto no podrá ser analizado para su uso, tanto con fines
comerciales o delincuenciales.
Principales diferencias entre HTTP y HTTPS
El Hypertext Transfer Protocol (HTTP), más conocido en español como Protocolo
de Transferencia de Hipertexto, es un sistema utilizado en sistemas de redes,
diseñado con el propósito de definir y estandarizar la sintaxis y la semántica de las
transacciones que se llevan a cabo entre los distintos equipos que conforman una
red.
La principal característica de este protocolo es que es un sistema orientado al
funcionamiento del tipo “petición-respuesta”, lo que significa que en la estructura
10. debe existir un cliente y un servidor, siendo el cliente el que efectúe las peticiones
y el servidor el que las responde. Las respuestas del servidor pueden ser la
descarga de un archivo o la apertura de una página web, dependiendo del tipo de
petición solicitada.
Básicamente, una vez que en el navegador escribimos una dirección web y
presionamos la tecla “Enter”, el servidor nos responderá devolviéndonos lo
deseado.
HTTP seguro
En el caso del Hypertext Transfer Protocol Secure (HTTPS) o Protocolo de
Transferencia de Hipertexto Seguro, el sistema se basa en una combinación de
dos protocolos diferentes, HTTPS y SSL/TLS.
Esta es la manera más segura y confiable de poder acceder a los contenidos que
nos ofrece la web, ya que cualquier dato o información que introduzcamos será
cifrada, lo que garantiza que no podrá ser vista por nadie más que el cliente y el
servidor, anulando de esta forma la posibilidad de que pueda ser utilizada, ya que
el ciberdelincuente sólo tendrá en sus manos datos cifrados que no podrá
descifrar.
Cómo podemos ver, la utilización del protocolo HTTPS es de vital importancia para
cualquier actividad que involucre el uso de datos personales como los utilizados
en entidades bancarias, tiendas en línea, correos electrónicos y en cualquier otro
sitio en el cual debamos introducir passwords, números de tarjeta de crédito u otra
información personal.
Certificados
Para que el sistema pueda funcionar, se debe implementar el esquema de
“Certificado”, teniendo que estar este debidamente firmado por una autoridad. En
el caso de los navegadores web, este método es transparente para el usuario, ya
11. que los certificados necesarios como para poder explorar Internet sin problemas
son obtenidos con el navegador.
En el siguiente cuadro, podremos ver las principales diferencias entre los
protocolos HTTP y HTTPS:
HTTP HTTPS
URL comienza con "http://" URL comienza con "https://"
Se utiliza el puerto 80 para la comunicación Se utiliza el puerto 443 para la comunicación
Sin garantía Asegurado
Funciona a nivel de aplicación Funciona a nivel de transporte
Sin cifrado Con certificado
No hay certificados requeridos Certificado prescrito